<!DOCTYPE html>
<html>

<head>
    <meta charset=utf-8>
    <meta name="referrer" content="never">
    <title></title>
</head>

<body>
    <script type="text/javascript">
        var s = location.search; // 返回URL中的查询部分（？之后的内容）
        // 为了方便演示，我们假如url是 如下这样的
        // http://127.0.0.1/xsstest.html?url=javascript:alert('xsstest'); 
        // 然后我们的是 s 的值就为如下：
        s = "?url=javascript:alert('xsstest')";
        s = s.substring(1, s.length); // 返回整个查询内容
        var url = ""; // 定义变量url
        if (s.indexOf("url=") > -1) { // 判断URL是否为空 
            var pos = s.indexOf("url=") + 4; // 过滤掉"url="字符
            url = s.substring(pos, s.length); // 得到地址栏里的url参数
        } else {
            url = "url参数为空";
        }
    </script>
    <div id='test'><a href=""></a></div>
    <script type="text/javascript">
        location.href = url; // 等同于location.href = "javascript:alert('xsstest')"
    </script>
</body>

</html>